среда, 27 марта 2013 г.

Лабораторная работа №3 - Конфигурирование Port security на свичах Juniper


Третья лабораторная работа будет посвещена настройке Port security на коммутаторах Juniper. К сожалению запустить JunOS также в эмуляторе qemu не удалось, поэтому лабораторная работа выполнялась на живом железе Juniper EX3300. Если у вас нет доступа к оборудованию, то эта лабораторная будет носить пока только ознакомительный характер (я всетаки попытаюсь еще раз запустить JunOS EX серии в qemu).

Топология сети и базовая настройка


Производим базовую конфигурацию для нашей лабораторной работы Создаем VLANы необходимые для выполнения лабораторной работы.
set vlans Admin-access vlan-id 400 description "Adminitration access to router"
set vlans Clients vlan-id 402 description "Clients network" 
в результате конфигурация примет вид:
vponomarjov@TEST-EX# show vlans 
Admin-access {
    description "Adminitration access to router";
    vlan-id 400;
}
Clients {
    description "Clients network";
    vlan-id 402;
}
конфигурируем VLANы на порта свича Порт ge-0/0/0 к которому у нас подключен роутер:
edit interfaces ge-0/0/0 unit 0
set description "TRUNK_to_Router"
edit family ethernet-switching
set port-mode trunk
set vlan members [400 402]
Порт ge-0/0/1 к которому подключается компьютер системного администратора:
edit interfaces ge-0/0/1 unit 0
set description "Administrator"
edit family ethernet-switching
set port-mode access
set vlan members 402
Порты клиентов:
set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 400
set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members 400
set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/13 unit 0 family ethernet-switching vlan members 400

Настройка защиты

Настраиваем DHCP Snooping, IP Source Guard и Dynamic ARP Inspection переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации
edit ethernet-switching-options secure-access-port
включаем DHCP Snooping в VLAN "Clients" (в конфигурации также можно указывать VLAN id)
set vlan Clients examine-dhcp
включаем ARP-spoofing в VLAN "Clients" (в конфигурации также можно указывать VLAN id)
set vlan Clients arp-inspection
включаем IP Source Guard в VLAN "Clients" (в конфигурации также можно указывать VLAN id)
set vlan Clients ip-source-guard
указываем порт ge-0/0/0 (напомню, к нему у нас подключен роутер на котором функционирует DHCP сервер) доверительным для DHCP Snooping
set interface ge-0/0/0 dhcp-trusted

Настраиваем ограничения 

Переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации
edit ethernet-switching-options secure-access-port
устанавливаем на количество mac адресов на порту (ge-0/0/1) администратора (у нас к порту подключен один компьютер на прямую, значит будет приходить только один mac адрес), в случае превышения ограничения логируем ошибку:
set interface ge-0/0/1 mac-limit 1 action log
устанавливаем ограничение на mac адрес (разрешаем mac адрес администратора на порту):
set interface ge-0/0/1 allowed-mac 00:1f:16:05:03:62
К порту ge-0/0/13 нашего коммутатора подключен хаб и к нему подключены два компьютера (Host3 и Host4), установим ограничения на порту для mac адресов этих компьютеров:
set interface ge-0/0/13 allowed-mac [8c:89:a5:d9:e1:a3 8c:89:a5:d9:e1:a4]
Установим ограничения на mac адреса для портов ge-0/0/11 и ge-0/0/12 в соответствии с подключенными к ним компьютерами:
set interface ge-0/0/11 allowed-mac 8c:89:a5:d9:e1:a1
set interface ge-0/0/12 allowed-mac 8c:89:a5:d9:e1:a2

Мониторинг 

Проверить статус DHCP Snooping можно командой:
show dhcp snooping binding
Проследить за работой Dynamic ARP Inspection можно командой:
show arp inspection statistics
Проверить статус IP Source Guard можно командой:
show ip-source-guard
Проверить статус MAC-limit и MAC Move Limiting можно командой:
show ethernet-switching table

5 комментариев:

  1. Добрый день! Скажите у вас получилось запустить Juniper EX3300 в Qemu?

    ОтветитьУдалить
  2. добрый день, а если мне требуется удалить мак с порта, если эта команда добавляет set interface ge-0/0/12 allowed-mac 8c:89:a5:d9:e1:a2, то как конкретный удалить мак?

    ОтветитьУдалить
  3. Этот комментарий был удален автором.

    ОтветитьУдалить
  4. Добрый день, есть ограничения вида set interface ge-0/0/1 allowed-mac 00:00:00:00:00:01 на каждом порту жунипера по записей 10, подключаю новое устройство с известным MAC, но не известном порту, как правильно глянуть логи, на каком порту drop нужный MAC? Данная функция ищет среди зарегистрированных show ethernet-switching table | match 00:00:00:00:00:12, а как искать среди не заригистрированных?

    ОтветитьУдалить